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Entschließungsantrag 

der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbeie, 
Luise Amtsberg, Voiker Beck (Köin), Kai Gehring, Dieter Janecek, 
Katja Keul, Renate Künast, Monika Lazar, Irene Mihaiic, Özcan Mutiu, 
Tabea Rößner und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


zu der dritten Beratung des Gesetzentwurfs der Bundesregierung 
- Drucksachen 18/4096, 18/5121 - 


Entwurf eines Gesetzes zur Erhöhung der Sicherheit 
informationstechnischer Systeme 

(IT -Sicherheitsgesetz) 


Der Bundestag wolle beschließen: 

I. Der Deutsche Bundestag stellt fest: 

Die Digitalisierung und Vernetzung von Gesellschaft, Wirtschaft und Staat schreiten 
weiter voran und damit auch die Abhängigkeit von IT-Systemen. Zugleich ist nicht 
erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Ab- 
hörskandal westlicher Geheimdienste klar, dass digitale Infrastrukturen auch durch 
staatliche Behörden bedroht sind. Beinahe täglich erfahren wir von gravierenden Si- 
cherheitslücken in Software und von zahlreichen Hackerangriffen auf private als 
auch öffentliche IT-Strukturen. Die IT-Sicherheitslage in Deutschland ist weiterhin 
angespannt, wie der Lagebericht zur IT-Sicherheit des Bundesamts für Sicherheit in 
der Informationstechnik (BSI) nachweist. 

Das gesellschaftliche Vertrauen und das Vertrauen der Wirtschaft in die Integrität 
der digitalen Infrastruktur sind wesentliche Grandlagen für die digitale Zukunft. 
Eine Stärkung und Verbesserung der IT-Sicherheit ist aber vor allem auch dringend 
geboten, um den Menschen - auch vor dem Hintergrund des NSA-Überwachungs- 
skandals - Schutz vor der Verletzung ihrer Grundrechte, insbesondere ihres Grund- 
rechts auf Vertraulichkeit und Integrität der von Ihnen genutzten informationstech- 
nischen Systeme, zu bieten. 



Drucksache 18/5127 


- 2 - 


Deutscher Bundestag — 18. Wahlperiode 


II. Der Deutsche Bundestag fordert die Bundesregierung auf, 

1 . einen Gesetzentwurf vorzulegen, der das neu geschaffene IT-Sicherheitsgesetz 

zurücknimmt und stattdessen weitergehende, insbesondere grandrechts- und 

rechtsstaatskonforme Regelungen zur IT-Sicherheit enthält, 

a. der nicht allein den Schutz Kritischer Infrastrukturen, sondern auch die 
Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und In- 
tegrität ihrer informationstechnischen Systeme zum Ziel hat sowie den 
grundlegenden datenschutzrechtlichen Anforderungen und dem Femmel- 
degeheimnis gerecht wird, 

b. dessen Anwendungsbereich auch öffentliche Stellen umfasst, 

c. der hinreichend bestimmte und normenklare gesetzliche Regelungen zur 
Bestimmung der betroffenen Wirtschaftsbereiche und Betreiber sowie des 
Begriffs der Kritischen Infrasfruktur enthält, 

d. der konkret, eng und unter strenger Beachtung des Grandsatzes der 
Zweckbindung regelt, von wem und zu welchen Zwecken die im Rahmen 
der Meldepflichten übermittelten personenbeziehbaren Daten verarbeitet 
werden dürfen; der Meldepflichten für Sicherheitsvorfalle nicht erst „bei 
erheblichen Störungen“ vorsieht, sondern bereits zu einem Zeitpunkt, in 
dem noch kein Schaden eingetreten ist“, 

e. der Massenspeicherangen von Daten (Bestandsdaten, Verkehrsdaten oder 
Inhaltsdaten) allein für Zwecke der IT-Sicherheit ausschließt, 

f der positive und wettbewerbsrelevante Anreize für die Wirtschaft setzt, 
ihre IT-Sicherheitskonzepte stetig und proaktiv fortzuentwickeln und zu 
pflegen und hierzu insbesondere zu prüfen, ob ein System der unabhängi- 
gen Auditierang und Zertifizierung von Produkten und Verfahren einen 
effizienteren Ansatz bietet, 

g. der sicherstellt, dass die Qualität von IT-Sicherheitskonzepten in Behör- 
den und Unternehmen durch zu auditierende Sicherheitsprüfimgen wie 
zum Beispiel sog. Penetrationstests qualitativ verbessert wird, die ein Ver- 
fahren zur unabhängigen Festsetzung von Standards der IT-Sicherheit 
nach gesetzlich festgelegten Kriterien vorsehen, 

h. der für die gesetzlichen Vorgaben für technische Schutzstandards nicht 
nur den „Stand der Technik „berücksichtigt“, sondern auch Standards, die 
auf der Basis von Risikoanalysen und konkretisierbaren Gefahrenlagen 
(Szenarien) ermittelt werden, einhält, 

i. der eine Kontrolle der Einhaltung durch ein zumindest für diesen Aufga- 
benbereich unabhängig gestelltes Bundesamt für Sicherheit in der Infor- 
mationstechnik (BSI) vorsieht, 

j. der klarstellt, dass neu zu regelnde Meldepflichten unbeschadet der in 
§ 42a BDSG und § 109a TKG zum Zwecke des Datenschutzes geregelten 
Meldepflichten bestehen, 

k. der die Vorgaben der höchstrichterlichen Rechtsprechung des Bundesver- 
fassungsgerichts (Urteil vom 02.03.2010 - 1 BvR 256/08, 1 BvR 263/08, 
1 BvR 586/08) und des Europäischen Gerichtshofs (Urteil vom 
08.04.2014 - C-293/12 und C-594/12) zur Vorratsdatenspeicherang be- 
achtet, 

l. der wirksame Sanktionen bei Zuwiderhandlungen, insbesondere gegen ge- 
setzliche Vorgaben für einzuhaltende Sicherheits Standard vorsieht. 
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m. der insbesondere im Hinblick auf personenbezogene Daten ausdrücklich 
regelt, an wen und zu welchen konkreten Zwecken das BSI die durch die 
Meldungen erlangten Informationen übermitteln darf und unter welchen 
Voraussetzungen deren Weiterverarbeitung erfolgt, 

n. der anlassbezogene Informationspflichten über Verletzungen der IT-Si- 
cherheit gegenüber betroffenen Unternehmen und der Öffentlichkeit dif- 
ferenzierend regelt, 

o. der die Weitergabe von Erkenntnissen aus dem Lagebild des BSI sowie 
Erkenntnissen aus der Erweiterung der Aufgaben des BSI zur Untersu- 
chung informationstechnischer Systeme normenklar regelt und Erkennt- 
nisse der Öffentlichkeit verpflichtend und unmittelbar zur Verfügung stellt 
und eine grundsätzliche Pflicht zur unverzüglichen Veröffentlichung von 
Sicherheitslücken enthält, 

p. der die Einbeziehung der Datenschutzbeauftragten des Bundes und der 
Länder in die Festlegung von Informationssicherheitsstandards und in die 
vorgesehenen Meldewege mit vorsieht, 

q. der, entgegen dem im IT-Sicherheitsgesetz vorgesehenen und mangelhaft 
begründeten Stellenaufbau bei Nachrichtendiensten, keine Stellenauf- 
wüchse und keine neuen Überwachungsbefugnisse der Nachrichten- 
dienste im Zusammenhang mit der IT-Sicherheit vorsieht, solange die von 
den Nachrichtendiensten dabei zu verwendenden Methoden und Instra- 
mente, somit auch die dadurch zu erwartenden Grandrechtsbeeinträchti- 
gungen für den Gesetzgeber und die Öffentlichkeit, nicht nachvollziehbar 
gemacht werden können, und 

r. der das IT-Sicherheitsgesetz auf die parallel in Verhandlung befindliche 
EU-Richtlinie zur Netz- und Informationssicherheit (NIS) hin anpasst; 

2. sich auf EU-Ebene insbesondere in den laufenden Verhandlungen für die NIS- 

Richtlinie für einheitliche und hohe Standards der IT-Sicherheit einzusetzen; 

3. mittelfristig gesetzlich dafür Sorge zu tragen, dass 

a. der Aufbau, Betrieb und das Angebot von Ende-zu-Ende- Verschlüsselun- 
gen gefördert und zum Kernstück eines umfassenderen Regelungsansatzes 
gemacht werden, 

b. eine langfristige Strategie zur Prüfung und Sicherstellung von Bausteinen 
einer sicheren Hard- und Softwareinfrastraktur auf der Grundlage etwa 
von Open-Source-Elementen (offene und überprüfbare öuelltexte) erar- 
beitet und umgesetzt wird, beispielsweise durch die Finanzierung von re- 
gelmäßigen und unabhängigen Überprüfungen von sicherheitsrelevanter 
Software („bug bountys“), 

c. in einer ganzheitlichen Perspektive die Hersteller von Hard- und Software 
(nicht nur Betreiber) berücksichtigt und Anreize zur öualitätssicherang 
durch Haftungsverpflichtungen geschaffen werden, (beispielsweise für die 
fahrlässige Implementierung oder Nichtbeseitigung von Sicherheitslü- 
cken), 

d. das Vergaberecht der öffentlichen Hand angepasst wird, so dass grund- 
sätzlich nur auditierte, zertifizierte sowie open-source-gemäße Produkte 
berücksichtigt werden, 

e. eine Beförderung des Schwarzmarktes für Sicherheitslücken durch den 
staatlichen Aufkauf und die Zurückhaltung von Sicherheitslücken (bspw. 
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zero-day-exploits), welche die Integrität digitaler Infrastrukturen gefähr- 
den, zu verbieten und stattdessen auf die konsequente Beseitigung von Si- 
cherheitslücken hinzuwirken, 

f mittels eines übergreifenden Regelungsansatzes für einen hohen Daten- 
schutz durch Technik gesorgt wird, beispielsweise durch Verpflichtungen 
zu „Security and Privacy by Design and Default“, 

g. der Schutz von Whistleblowem (Hinweisgebem) gesetzlich gestärkt wird. 


Berlin, den 9. Juni 2015 

Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion 
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